De rechtbank Amsterdam oordeelde onlangs in een vonnis dat een technologiebedrijf niet langer tracking cookies op de computer en/of andere apparaten van een internetgebruiker mag zetten zonder diens toestemming, omdat dat in strijd zou zijn met grondrechten en de AVG. Wat zijn tracking cookies eigenlijk, hoe ziet het wettelijk kader van cookies eruit en wie is er verantwoordelijk voor het verkrijgen van toestemming voor het plaatsen van tracking cookies? In deze bijdrage gaan wij in op deze vragen.
Tracking cookies: wat zijn het?
Tracking cookies zijn kleine tekstbestanden die door websites op de apparaten van gebruikers worden geplaatst om het surfgedrag van een websitebezoeker te volgen. Zo kan er met tracking cookies worden achterhaald welke websites de gebruikers bezoeken, hoe lang zij op een bepaalde website blijven, welke pagina’s ze op de site bekijken, en welke producten ze bekijken of kopen. De verzamelde gegevens worden vaak gebruikt voor gerichte advertenties. Adverteerders kunnen op basis van het verzamelde profiel advertenties tonen die aansluiten bij de interesses van de gebruiker. Hoewel tracking cookies nuttig kunnen zijn voor gepersonaliseerde gebruikservaringen, roepen ze regelmatig ook vragen op over privacy.
Voor cookies die geen of weinig inbreuk maken op de privacy van de websitebezoeker is geen toestemming nodig. Het betreft zogenaamde analytische of functionele cookies. Dit is anders bij tracking cookies. Voor het plaatsen van tracking cookies is namelijk altijd toestemming nodig van de websitebezoeker. Bovendien moeten website-eigenaren duidelijke informatie verstrekken over welke tracking cookies worden gebruikt, waarvoor ze worden gebruikt en hoe gebruikers deze cookies kunnen accepteren of weigeren. Dit gebeurt vaak via cookiebanners of pop-ups op websites. Gebruikers moeten ook de mogelijkheid hebben om hun toestemming weer op elk moment in te trekken.
Wettelijk kader
In Nederland wordt het gebruik van cookies gereguleerd door zowel nationale regelgeving als Europese regelgeving. De Telecommunicatiewet, soms ook aangehaald als de ‘Cookiewet’, reguleert het plaatsen van cookiesdoor telecommunicatieproviders en andere bedrijven die elektronische communicatiediensten aanbieden. Op grond van de wet moet een website bezoekers informeren over cookies, en moet de website in veel gevallen toestemming krijgen van de bezoeker voor het gebruik van cookies. Bij het gebruik van cookies die ook persoonsgegevens verzamelen (zoals bij trackingcookies het geval is), is de AVG ook van toepassing.
In de EU wordt al heel lang gesproken over de nieuwe E-privacyverordening. Deze lex specialis (bijzondere wetgeving) vormt een aanvulling op de AVG, en richt zich specifiek op de bescherming van persoonsgegevens rond elektronische communicatie. De verordening zal strengere regels bevatten voor de verwerking van cookies en andere trackingtechnologieën. De e-Privacyverordening zou in eerste instantie gelijktijdig met de AVG in werking treden. Omdat de lidstaten nog geen overeenstemming hebben bereikt over de precieze invullen van deze verordening, is de wet er echter nog steeds niet. De onderhandelingen over deze regelgeving zijn nog steeds in volle gang.
Vonnis rechtbank Amsterdam
Dat het gebruik van cookies soms op gespannen voet staat met privacy, blijkt uit een recent vonnis van de rechtbank Amsterdam. Hierin stelde een internetgebruiker dat technologiebedrijf Criteo – een reclamebedrijf dat online display-advertenties aanbiedt – onrechtmatig heeft gehandeld tegenover hem, door in strijd met de Telecommunicatiewet, de AVG en de privacygrondrechten regelmatig, al voordat hem om toestemming zou zijn gevraagd, via een groot aantal websites tracking cookies te plaatsen. Het bedrijf zou dat zelfs doen nadat de internetgebruiker de toestemming had geweigerd. Criteo stelt echter dat niet zij, maar de desbetreffende websitehouders, verantwoordelijk is voor het verkrijgen van toestemming, aangezien Criteo hen daartoe contractueel tot had verplicht. Criteo benadrukt dat ze geen zeggenschap heeft over de inhoud van partnerwebsites, en pas actie onderneemt bij meldingen of klachten van gebruikers.
De rechtbank oordeelt dat het techbedrijf zich niet kan verschuilen achter contractuele partners, maar dat zij zelf moet kunnen aantonen dat er rechtsgeldige toestemming is gegeven. Criteo moet als verwerkingsverantwoordelijke in de zin van de AVG zelf actie ondernemen en bovendien is haar gehanteerde klacht- en meldingssysteem niet voldoende om de onrechtmatigheid van het handelen tegenover de gebruiker weg te nemen.
Zorg dus dat als u cookies gebruikt, u voldoet aan de wet- en regelgeving. Wij hebben veel ervaring met het adviseren over de cookiewetgeving. Wij helpen u dan ook graag verder.